• No results found

ADVIES Nr 33 / 1998 van 14 december 1998

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "ADVIES Nr 33 / 1998 van 14 december 1998"

Copied!
6
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 6 pagina )

Hele tekst

(1)

ADVIES Nr 33 / 1998 van 14 december 1998

O. Ref. : 10 / A / 1998 / 025

BETREFT : Richtlijn 95/46/EG – grensoverschrijdende gegevensstromen – beschermingsniveau geboden door de Amerikaanse wetgeving.

De Commissie voor de bescherming van de persoonlijke levenssfeer,

Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, inzonderheid artikel 29;

Gelet op de adviesaanvraag van de Minister van Justitie dd. 8 oktober 1998;

Gelet op het verslag van dhr. Y. POULLET,

Brengt op 14 december 1998 volgend advies uit :

(2)

I. VOORWERP VAN DE ADVIESAANVRAAG ---

Naar aanleiding van een vraag gesteld door de Amerikaanse overheid aan het Comité ingesteld bij artikel 31 van de richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna : de richtlijn), richtte de Minister van Justitie zich tot de Commissie om haar advies te vragen over het beschermingsniveau dat door de Verenigde Staten wordt geboden. De Commissie werd verzocht na te gaan of een document met de titel “Elements of effective selfregulation for privacy protection”, dat richtlijnen wil uitvaardigen voor de uitwerking van gedragscodes in de privé-sector, een passend beschermingsniveau biedt in het licht van de vereisten van de richtlijn inzake de doorgifte van persoonsgegevens naar derde landen ten opzichte van de Europese Unie. Artikel 25 van de richtlijn verplicht de Lid-Staten er immers toe elke grensoverschrijdende doorgifte naar derde landen die geen passend beschermingsniveau bieden, te verbieden.

Op basis van de inlichtingen die werden verstrekt door de met het dossier belaste ambtenaar van het Ministerie van Justitie en door de Europese Unie in het kader van de werkzaamheden door de bij artikel 29 van de richtlijn ingestelde Groep waarbinnen de Belgische Commissie vertegenwoordigd is), stelde de Commissie vast dat het document waarover haar advies werd gevraagd, niet meer actueel is. Het document met de titel “Elements of effective selfregulation for privacy protection” werd immers vervangen door een nieuw Amerikaans voorstel, getiteld “Safe Harbor Principles”. De Commissie stelde vast dat de nieuwe tekst slechts op enkele minder belangrijke punten verschilt van de vorige Amerikaanse tekst die in het verslag werd onderzocht.

Ze achtte het dan ook niet nuttig de referenties te wijzigen. Bovendien acht de Commissie het belangrijk om er in onderhavig advies aan te herinneren dat bij de beoordeling van het passend karakter van het geboden beschermingsniveau rekening moet worden gehouden met bepaalde algemene beginselen. Ofschoon de opmerkingen in hun bewoordingen steunen op het document

“Elements of effective Selfregulation for Privacy Protection”, en op een officieus document van de diensten van de Europese Commissie bij het Comité van artikel 31, dat als titel “non paper document” kreeg (hierna : het officieus document) 1, moeten deze opmerkingen onderzocht worden binnen het ruimere kader van de dialoog met de Verenigde Staten of met andere derde landen over het passende karakter van het geboden beschermingsniveau.

De vraag betrof eveneens het beschermingsniveau dat werd geboden door de “Federal Privacy Act” en de Fair Credit Reporting Act. Het onderzoek van beide reglementeringen maakt het voorwerp uit van twee verschillende adviezen van de Commissie.

II. ONDERZOEK ---

Voor alles wil de Commissie de in artikel 25 van de richtlijn vernoemde voorwaarden in herinnering brengen. De eerste voorwaarde betreft de naleving door de houder van het bestand die gegevens aan een derde land doorgeeft van de nationale bepalingen die werden genomen in toepassing van de richtlijn, en de tweede voorwaarde slaat op het passend karakter van het beschermingsniveau dat door het derde land wordt geboden.

1 Doc C 5055/98.

(3)

De Commissie benadrukt het belang van de eerste voorwaarde. Het feit dat een derde land een gegevensbeschermingsniveau instelt dat “passend” wordt bevonden, betekent niet noodzakelijk dat alle gegevens vrij aan dat land kunnen worden doorgegeven. In ieder geval dient rekening gehouden met de nationale bepalingen tot omzetting van de richtlijn. In dat verband wenst de Commissie de aandacht te vestigen op het feit dat bij elke mededeling van persoonsgegevens naar een derde land het finaliteitsbeginsel moet worden nageleefd. Bovendien spreekt het vanzelf dat, in het kader van de speelruimte die de richtlijn laat, België, op basis van strengere nationale bepalingen, een grensoverschrijdende gegevensstroom kan verbieden.

Wat de tweede voorwaarde betreft, staat de Commissie erop volgende opmerkingen te formuleren :

1. Het is nodig om rekening te houden met elk definitief standpunt dat het bij artikel 31 opgerichte Comité zal innemen. Dit standpunt zal de mogelijkheden tot opnieuw onderhandelen 2 drastisch beperken. In dat opzicht moet men zich noodzakelijkerwijze vragen stellen over de effectiviteit van de bescherming en inzonderheid over de wijze waarop de beginselen aan de betrokken sectoren zullen worden opgelegd.

2. De naleving van het finaliteitsbeginsel is essentieel. Het is belangrijk dat de doeleinden voldoende zijn bepaald en dat ze een zekere wettigheid vertonen ten opzichte van de taak van de onderneming of de administratie in hun betrekkingen met de personen op wie de gegevens betrekking hebben.

In dat opzicht kan de Commissie geen genoegen nemen met de benadering volgens welke elk gebruik is toegestaan zodra de consument in kennis wordt gesteld en hij een keuze maakt, wat trouwens niet noodzakelijk een toestemming van zijnentwege inhoudt, noch dat de toestemming in alle gevallen een voldoende waarborg vormt.

Wat dit laatste punt betreft, verwijst de Commissie naar de opmerkingen van de bij artikel 29 van de richtlijn ingestelde Groep, over het “Platform for Privacy Preferences (P3P) and the Open Profiling Standard (OPS)”, dat deze keuzemogelijkheden instelt 3. De fundamentele vraag rijst of over de persoonlijke levenssfeer kan worden onderhandeld in termen van “keuze”.

3. De pertinentie van de gegevens moet worden beoordeeld ten opzichte van de doeleinden van de gegevensverwerkingen, wat vooraf inhoudt dat deze doeleinden voldoende bepaald zijn.

Verder kan de Commissie zich aansluiten bij de opmerking in het officieuze document dat er geen fundamentele verschillen zijn tussen de Europese en de Amerikaanse benaderingen. Waar het Amerikaanse document bepaalt dat men naargelang het nagestreefde doel de noodzaak bepaalt om over juiste gegevens te beschikken, spreekt de richtlijn over “redelijke noodzakelijke maatregelen” om de juistheid van de gegevens te waarborgen.

2 We merken op dat artikel 25, paragraaf 6 bepaalt dat “de Commissie volgens de procedure van artikel 31, lid 2, (kan) constateren dat een derde land, op grond van zijn nationale wetgeving of zijn internationale verbintenissen die het (…) is aangegaan, waarborgen voor een passend beschermingsniveau (…) biedt met het oog op de bescherming van de persoonlijke levenssfeer en de fundamentele vrijheden en rechten van personen”, waardoor ze het Comité 31 de vraag kan stellen inzake de mogelijkheid om een passend beschermingsniveau vast te stellen op grond van het Amerikaanse voorstel.

3 Zie standpunt 1/98, ingenomen op 16 juni 1998.

(4)

4. Wat het transparantiebeginsel betreft, oordeelt de Commissie zeer gunstig over de Amerikaanse opgenomen onder de rubriek “Awareness”.

5. Inzake de formulering van de erkende rechten en, inzonderheid, het recht op toegang, meent de Commissie dat formuleringen zoals “the person concerned should have” dienen geschrapt.

Opdat de betrokkene zijn rechten zou kunnen doen gelden, is het noodzakelijk deze uitdrukking te vervangen door “has”.

6. De Commissie kan instemmen met de andere opmerkingen over het recht op toegang in het officieuze document. Bovendien acht ze het noodzakelijk de beperkingen op dit recht te begrenzen. Het gebruik, in het Amerikaanse document, van vrijstellingen uitgedrukt in termen als “reasonable”, “appropriate”, die vatbaar zijn voor ruime interpretatie, zou het recht op toegang van zijn inhoud kunnen beroven.

7. De Commissie stemt in met de opmerking in het officieuze document over de opeenvolgende doorgiften. De begunstigde van de doorgifte zou de gegevens enkel verder mogen doorgeven naar landen die een passend beschermingsniveau bieden, onder voorbehoud van de afwijkingen voorzien in artikel 26, § 1 van de richtlijn. De Commissie benadrukt het belang van deze opmerking in de context van “on-line”-diensten.

8. Wat de gevoelige gegevens betreft, heeft de Commissie meerdere opmerkingen :

a) Voor alles zou het begrip “gegeven” gedefinieerd moeten worden. Het is belangrijk de Amerikaanse benadering hierover te begrijpen. Vooral dan wat de “cookies”

betreft : zijn dit gegevens ? Wat met de gegevens betreffende identificeerbare maar niet-geïdentificeerde personen, enz…?

b) Het begrip “gevoelig gegeven” zou eveneens gedefinieerd moeten worden. Wat bijvoorbeeld indien men een boek over de Mormonen bestelt ?

c) Het Europees recht voorziet in de mogelijkheid de toestemming inzake gevoelige gegevens te beperken. Hoe zit het met de Verenigde Staten ?

d) De toestemming van de betrokkene, die door het Amerikaanse document wordt beschouwd als een voldoende grond voor de verwerking van gevoelige gegevens, zou specifiek betrekking moeten hebben op de gevoelige gegevens en niet het gevolg mogen zijn van een algemene toestemming.

9. Het door artikel 15 van de richtlijn gestelde beginsel betreffende de geautomatiseerde individuele beslissingen komt in het Amerikaanse document niet ter sprake. De naleving van dit beginsel is vooral belangrijk ten opzichte van de “on-line”-systemen waar beslissingen kunnen worden genomen met hulpsystemen steunend op het profiel van de consument (internetgebruiker).

(5)

10. Wat de effectiviteit van de beginselen betreft, is de idee van een onafhankelijke audit en een beroep bij een orgaan dat onafhankelijk en duidelijk optreedt, primordiaal.

Met betrekking tot de kosten die een “verificatie” met zich meebrengt, vraagt de Commissie zich af of het niet mogelijk zou zijn om te bepalen dat de verificatiemechanismen soepeler (en dus minder kosten) zouden kunnen zijn, en dat de mechanismen voor klachten, beroep en verificatie van ambtshalve zouden worden vergemakkelijkt, en dat bij of door een onafhankelijk orgaan waarin de verbruikersorganisaties en de betrokken personen zouden zijn vertegenwoordigd. Zou dit orgaan niet gefinancierd kunnen worden door kleine bijdragen uit de sector ?

Het is belangrijk te benadrukken dat voldoende afschrikkende straffen moeten bestaan en dat in het recht op juridisch verhaal van de betrokkenen voorzien moet zijn, zelfs in geval van louter morele schade.

CONCLUSIES :

De Commissie staat erop dat de Minister het Comité rond artikel 31 eraan herinnert dat de beoordeling van de gepastheid dient doorgevoerd, niet alleen ten opzichte van de beginselen van de richtlijn, maar ook ten opzichte van de specifieke aard van de nationale wetgeving die werd genomen overeenkomstig de richtlijn.

De Commissie is van oordeel dat het binnen haar taak en bevoegdheden valt om deel te nemen aan het evaluatieproces van het beschermingsniveau dat door een derde land wordt geboden. Ze wenst dat de wijze waarop zij tussenkomt met de Administratie wordt besproken.

Dit gezegd zijnde, overeenkomstig hetgeen bepaald is in artikel 29 van het wetsontwerp tot omzetting van de richtlijn en de logica volgend van de artikelen 25 en 26 van de richtlijn, benadrukt de Commissie dat een gemeenschappelijke benadering in de verschillende landen van de Europese Unie noodzakelijk is. Ter ondersteuning van deze redenering verwijst ze eveneens naar artikel 30 van de richtlijn, dat de door artikel 29 ingestelde groep de taak toevertrouwt om “de Commissie van advies te dienen over het beschermingsniveau in (…) derde landen”.

De Commissie meent dat het Europese coördinatiewerk moet worden verbeterd, en dit om twee redenen :

- het gebrek aan middelen van de Belgische Commissie om het onderzoek ten gronde uit te voeren, zoals de inwerkingstelling van artikel 25 vereist;

- de fundamentele dubbele vaststelling dat een aantal gegevensstromen verricht zal worden door multinationals die in diverse Europese landen vestigingen hebben en dat bovendien elke beslissing die in België zou worden genomen, kan worden omzeild door de doorgifte van de gegevens naar andere, minder strenge, Europese landen vanwaar de gegevens dan naar de derde landen worden uitgevoerd.

(6)

Zodoende denkt de Commissie dat, indien de gegevensstroom een Europese reikwijdte heeft, het nuttig zou zijn dat ze de kwestie rechtstreeks kan doorgeven aan het secretariaat van vernoemde Groep 29, en dat deze groep bovendien rechtstreeks kan worden benaderd door ondernemingen of organisaties die het voornemen hebben gegevens uit te voeren. In dat geval zou het secretariaat van de Werkgroep een voorbereidend verslag kunnen opstellen dat de Groep ter bespreking zou worden voorgelegd.

Verder zou het nuttig zijn dat de verscheidene nationale “controleautoriteiten” aan de Groep de door hen uitgebrachte adviezen of beslissingen doorgeven.

Voor de secretaris, De voorzitter,

wettig verhinderd ;

(get.) G.POPLEU (get.) P.THOMAS

adjunct-adviseur

Referenties

Download het nu ( PDF - 6 pagina - 22.27 KB )

GERELATEERDE DOCUMENTEN

Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

Nieuwe bijlage (deel I): krachtens de bijlage moeten mobiele telefoons en soortgelijke radioapparatuur die via kabel kunnen worden opgeladen, zijn uitgerust met

RICHTLIJN 2009/59/EG VAN HET EUROPEES PARLEMENT EN DE RAAD

— niet langer het in artikel 10, lid 1, derde streepje, van Richtlijn 74/150/EEG bedoelde document afgeven voor een type trekker, indien dit niet voldoet aan de voorschriften

Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

(1) Overeenkomstig artikel 57, lid 1, van Richtlijn (EU) 2016/797 van het Europees Parlement en de Raad 3 en artikel 33, lid 1, van Richtlijn (EU) 2016/798

Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

De materiële bepalingen van de huidige EU-wetgeving worden er niet door gewijzigd: het beperkt zich ertoe de omzettingstermijn van Richtlijn 2004/40/EG tot 30 april 2014 te

ADVIES Nr 34 / 1998 van 14 december 1998

a (c) verplicht ieder bestuur enerzijds slechts die gegevens te "behouden" (verzamelen, verwerken en mededelen) die "relevant and necessary" (pertinent en

ADVIES Nr 20 / 1998 van 14 mei 1998.

BETREFT : Ontwerp van koninklijk besluit waarbij sommige overheden van de Administratie voor Hulpverlening aan de Jeugd van het Ministerie van de Franse Gemeenschap worden

AANBEVELING Nr 01 / 1998 van 14 december 1998

Het spreekt vanzelf dat de CRS's wel degelijk de verantwoordelijken voor de verwerking zijn, voor zover zij, wellicht met anderen (de reisagentschappen, de

Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

b) lid 3 wordt geschrapt. De lidstaten zenden elk jaar uiterlijk op 31 december van het jaar volgend op het jaar waarvoor de gegevens worden verzameld, langs elektronische weg hun